Profile Management

アプリケーションへのアクセスの制御

アプリのアクセス制御機能を使用すると、規則を使用してアプリケーションへのアクセスを制御できます。アプリケーションとイメージの管理を合理化するのに役立ちます。たとえば、同一のマシンをさまざまな部署に提供する一方で、各部署の固有のアプリケーション要件を満たし、イメージの数を減らすことができます。

この記事では、アプリのアクセス制御を有効にして制御規則を構成するプロセスについて説明します。また、この機能を使用して仮想環境でのイメージ管理を簡素化する例も示します。

概要

アプリのアクセス制御機能を使用すると、非表示の規則を構成することで、ユーザー、マシン、およびプロセスからアプリケーションを隠すことができます。

アプリの非表示規則は、次の2つの情報を定義します:

  • 非表示にするオブジェクト。アプリケーションの非表示にするファイル、フォルダー、およびレジストリエントリ。

    たとえば、アプリケーションを非表示にするには、ファイル、フォルダー、レジストリなど、このアプリケーションに関連付けられたすべてのオブジェクトを指定する必要があります。

  • 割り当て。アプリケーションが非表示になるユーザー、マシン、またはプロセス。

割り当ての種類

非表示規則の割り当てには、ユーザー、マシン、プロセスの3つのカテゴリがあります。以下は、割り当ての種類の詳細です:

  • ユーザー
  • ユーザーグループ
  • マシン
  • 組織単位(OU)
  • プロセス

注:

アプリのアクセス制御では、OUはマシンに対してのみコンテナとして使用されます。そのため、割り当てがOUの場合、OU内のマシンに対してのみアプリを非表示にします。OU内のユーザーには、アプリは非表示になりません。

アプリの非表示規則に複数の割り当てが構成されている場合は、次の状況を考慮してください:

  • これらの割り当てが同じカテゴリ(たとえば、ユーザーAとユーザーグループB)である場合、アプリケーションはそれらの割り当てで指定されたすべてのオブジェクト(ユーザーAとユーザーグループBのすべてのユーザー)に対して非表示になります。
  • これらの割り当てが異なるカテゴリ(たとえば、ユーザーAとコンピューターX)である場合、それらすべての割り当てで指定された条件が満たされたとき(ユーザーAがコンピューターXにサインインしたとき)、アプリケーションは非表示になります。
  • 割り当てがプロセスカテゴリの場合、アプリケーションはこれらの割り当てで指定されたすべてのプロセスから非表示になります。

注:

規則で割り当てが構成されていない場合、規則で指定されたアプリケーションが非表示になります。

ワークフロー

アプリのアクセス制御機能を使用すると、Profile Managementは、指定した規則に基づいて、ユーザー、マシン、およびプロセスからアプリケーションを隠すことができます。

アプリのアクセス制御をご利用の環境に適用するには、最初に非表示の規則を作成する必要があります。これを行うには、Profile Managementインストールパッケージで提供されるPowerShellツールのRule Generatorを使用します。

上位レベルでは、非表示の規則を作成する手順は次のとおりです:

  1. アプリケーションの非表示規則を作成します:

    1. そのアプリケーションに対して非表示にするファイル、フォルダー、およびレジストリエントリを指定します。
    2. 規則の割り当てを構成します。割り当てを構成するには、アプリケーションを非表示にするユーザー、マシン、またはプロセスのグループを指定します。詳しくは、「割り当ての種類」を参照してください。
  2. 手順1を繰り返して、他のアプリケーションの非表示規則を作成します。

  3. 構成したすべての規則の生データを生成します。

    Rule Generatorについて詳しくは、「Rule Generatorを使用して規則を作成、管理、展開する」を参照してください。

  4. GPOを使用して環境内のマシンに非表示規則を適用します。詳しくは、「GPOを使用してアプリのアクセス制御を有効にする」を参照してください。

Rule Generatorを使用して規則を作成、管理、展開する

このセクションでは、PowerShellベースのRule Generatorを使用して、規則を作成、管理、展開する方法について説明します。

開始する前に、ツールを実行するマシンが次の状態であることを確認してください:

  • Windows 10または11、あるいはWindows Server 2016、2019または2022がインストールされている
  • ユーザーおよびマシンと同じドメインにある

一般的な手順は次のとおりです:

  1. 管理者としてWindows PowerShellを実行します。
  2. Profile Managementインストールパッケージの\toolフォルダーに移動し、CPM_App_Access_Control_Config.ps1を実行します。
  3. 画面上の指示に従って、非表示規則を作成、管理、および生成します:
    1. マシンにインストールされている各アプリケーションとその状態を表示します:

      • [Not configured](未構成。)アプリケーションの規則が構成されていません。
      • [Configured](構成済み。)アプリケーションに1つまたは複数の規則が構成されていますが、いずれの規則もマシンに適用されていません。
      • [Configured and applied](構成済みかつ適用済み。)アプリケーションに1つまたは複数の規則が構成されており、1つ以上の規則がマシンに適用済みです。

      アプリ一覧

    2. アプリケーション一覧から、インデックスを入力して非表示にするアプリケーションを選択します。そのアプリケーションで非表示になるすべてのファイル、フォルダー、およびレジストリエントリが表示されます。

      アプリを選択

    3. 選択したアプリケーションの追加のファイル、フォルダー、またはレジストリエントリを非表示にするには、それらのパスを入力してアプリケーションに追加します。

      パスではシステム環境変数(%windir%など)を使用できます。ユーザー環境変数(%appdata%など)はサポートされていません。

      追加を選択

      注:

      アプリケーションを特定のファイル、フォルダー、およびレジストリエントリに関連付けることで、アプリケーションを手動で定義することもできます。

    4. 規則の割り当てを構成します。詳しく説明すると、割り当ての種類(ユーザー、ユーザーグループ、マシン、OU、またはプロセス)を指定し、選択した種類の中で、アプリケーションを非表示にする特定のオブジェクトを入力します。ユーザー、ユーザーグループ、およびOUについては、ADドメイン名を入力します。マシンの場合は、DNSホスト名を入力します。

      割り当てを選択

      注:

      規則の割り当てを構成しない場合、規則で指定したアプリケーションは表示されません。

  4. 手順3を繰り返して、他のアプリケーションの非表示規則を作成します。
  5. 画面上のプロンプトに従って、構成した規則の生データを生成し、後で使用できるように.txtファイルに保存します。
  6. 規則の有効性をテストするには、ローカルレジストリまたはGPOを介して規則をマシングループのレジストリに展開します。

    注:

    このツールを使用して規則を実稼働環境に展開することはお勧めしません。

GPOを使用してアプリのアクセス制御を有効にする

アプリのアクセス制御の規則を作成および生成したあと、GPOを使用して環境内のマシンに規則を適用できます。

GPOを使用してマシンに制御規則を適用するには、次の手順に従います:

  1. グループポリシー管理エディターを開きます。
  2. [ポリシー]>[管理用テンプレート:ポリシー定義(ADMXファイル)]>[Citrixコンポーネント]>[Profile Management]>[アプリのアクセス制御] に移動します。
  3. [アプリのアクセス制御] をダブルクリックします。
  4. 表示されるポリシーウィンドウで、[有効] を選択します。
  5. 生成された規則を保存した.txtファイルを開き、内容をコピーして [アプリのアクセス制御規則] フィールドに貼り付けます。
  6. [OK]をクリックします。

この機能の構成の優先順位は次のとおりです:

  1. この設定がGPO、Studio、またはWEMを使用していない場合、.iniファイルの値が使用されます。
  2. この設定をどこにも構成していない場合、この機能は無効になります。

このセクションでは、例を用いて、イメージに関するアプリのアクセス制御を実装する方法について説明します。

要件

この例の要件は次のとおりです:

  • 単一のイメージを使用して、営業、人事、およびエンジニアリング部門用の仮想マシンを作成します。
  • 以下のアプリケーションへのアクセスを制御します:
    • Microsoft Excel:人事部門のユーザーには非表示にする。
    • Visual Studio Code:営業部門または人事部門のユーザーには非表示にする。

解決策

Profile Managementをインストールして、インストール済みアプリケーションへのアクセスを制御します。

テンプレートマシンをインストールする

イメージをキャプチャするためのテンプレートマシンをインストールします。手順は次のとおりです:

  1. ユーザーおよびマシンと同じADドメインに新しいマシンを参加させます。
  2. 次のソフトウェアをマシンにインストールします:
    • 必要に応じて、Windows 10または11、あるいはWindows Server 2016、2019、または2022
    • Profile Managementバージョン2303以降
    • 必要なすべてのアプリケーション

非表示規則を作成および生成する

  1. テンプレートマシンで、Rule Generatorを使用して非表示規則を作成および生成します。

    • 規則1:人事部門のユーザーに対してMicrosoft Excelを非表示にする(アプリケーション:Microsoft Excel、割り当て:HRユーザーグループ)
    • 規則2:営業部門または人事部門のユーザーに対してVisual Studio Codeを非表示にする(アプリケーション:Visual Studio Code、割り当て:営業ユーザーグループおよび人事ユーザーグループ)
  2. 2つの規則の生データを生成し、.txtファイルに保存します。

ツールの使用方法について詳しくは、「Rule Generatorを使用して規則を作成、生成、展開する」を参照してください。

これで、テンプレートマシンからイメージをキャプチャできます。

GPOを使用してアプリのアクセス制御を有効にする

仮想マシンが作成されたら、GPOを使用して一元的にアプリのアクセス制御を有効にし、生成された規則をマシンに適用します。詳しくは、「GPOを使用してアプリのアクセス制御を有効にする」を参照してください。

アプリケーションへのアクセスの制御